꿈을꾸는 파랑새

오늘은 Kgpvwnr Ransomware(Kgpvwnr 랜섬웨어) 감염 증상 및 예방 방법에 대해 알아보는 시간을 가져보겠습니다. 일단 Kgpvwnr Ransomware(Kgpvwnr 랜섬웨어)은 또 다른 이름의 My Decryptor ransomware(MY Ransom 랜섬웨어)이라고도 부르고 있습니다. My Decryptor ransomware은 악성코드에 감염되면 기본적으로. kgpvwnrd으로 변경이 됩니다. 암호화는 AES 암호화로 암호화를 진행됩니다. 일단 랜섬웨어 감염이 되는 곳은 악의적으로 조작된 웹사이트에 사용자가 접속했으면 보안 취약점을 악용해서 컴퓨터에서 윈도우 보안 업데이트 및 기타 프로그램을 최신프로그램을 유지하지 않으면 원격코드가 실행되는 Exploit를 통해서 감염됩니다. 일단 해당 랜섬웨어에 감염이 되면 기본적으로 다음과 같은 폴더에 새로운 파일들을 생성을 시도합니다.
C:\Users\%UserName%\AppData\Local\Temp\kgpvwnr.exe
C:\Users\%UserName%\AppData\Local\Temp\_HOW_TO_DECRYPT_MY_FILES_(랜덤)_.txt
C:\Users\%UserName%\Desktop\(랜덤).exe
C:\Windows\System32\Tasks\kgpvwnr
C:\Windows\System32\Tasks\(랜덤)
작업 스케줄을 통해서 calua.exe -a %Temp%\kgpvwnr.exe,%Temp%\_HOW_TO_DECRYPT_MY_FILES_(랜덤)_.txt을 생성이 됩니다.

그리고 랜섬노트을 생성을 하고 내용은 다음과 같습니다.
_HOW_TO_DECRYPT_MY_FILES_(랜덤)_.txt
ALL Y0UR D0CUMENTS, PHOTOS, DATABASES AND OTHER IMP0RTANT FILES HAVE BEEN ENCRYPTED!
Your files are NOT damaged! Your files are modified only. This modification is reversible.
The only 1 way to decrypt your files is to receive the private key and decryption program.
Any attempts to restore your files with the third-party software will be fatal for your files!
To receive the private key and decryption program follow the instructions below:
1. Download “Tor Browser” from https://www.torproject.org/ and install it.
2. In the “Tor Browser” open your personal page here:
http://27dh6y1kyr49yjhx8i3.yhicav6vkj427eox.onion/xxxxxxxxxxx
Note! This page is available via “Tor Browser” only.
Also you can use temporary addresses on your personal page without using “Tor Browser”:
http://27dh6y1kyr49yjhx8i3.sayhere.party/xxxxxxxxxxx
http://27dh6y1kyr49yjhx8i3.goflag.webcam/xxxxxxxxxxx
http://27dh6y1kyr49yjhx8i3.keysmap.trade/xxxxxxxxxxx
http://27dh6y1kyr49yjhx8i3.segon.racing/xxxxxxxxxxx
Note! These are temporary addresses! They will be available for a limited amount of time!
대충 번역을 하면 다음과 같습니다.
모든 사진, 사진, 데이터베이스 및 기타 중요한 파일이 암호화되었습니다!
파일이 손상되지 않았습니다! 파일은 수정됩니다. 이 수정은 되돌릴 수 있습니다.
파일을 복원하는 유일한 방법은 개인 키와 암호 해독 프로그램을 받는 것입니다.
타사 소프트웨어로 파일을 복원하려는 시도는 파일에 치명적입니다!
개인 키와 암호 해독 프로그램을 받으려면 다음 지침을 따르십시오.
1. http://www.torproject.org/에서 "Tor Browser"를 다운로드하여 설치하십시오.
2. Tor 브라우저에서 개인 페이지를 엽니다.
https://27dh6y1kyr49yjhx8i3.yhicav6vkj427eox.onion/xxxxxxxxxxx
노트! 이 페이지는 "Tor 브라우저"를 통해서만 사용할 수 있습니다.
또한 "Tor Browser"를 사용하지 않고도 개인 페이지에서 임시 주소를 사용할 수 있습니다.
http://27dh6y1kyr49yjhx8i3.sayhere.party/xxxxxxxxxxx
http://27dh6y1kyr49yjhx8i3.goflag.webcam/xxxxxxxxxxx
http://27dh6y1kyr49yjhx8i3.keysmap.trade/xxxxxxxxxxx
http://27dh6y1kyr49yjhx8i3.segon.racing/xxxxxxxxxxx
노트! 이들은 임시 주소입니다! 제한된 시간 동안 사용할 수 있습니다!
라는 메시지를 볼 수가 있습니다.

그리고 랜섬웨어 몸값을 제공하기 위해서 Tor 브라우저(토르 브라우저)를 다운로드 및 실행을 접속하게 합니다.
그리고 READ_ME_FOR_DECRYPT_ (확장). txt에는 다음과 같은 내용은 다음과 같습니다.
ALL Y0UR DOCUMENTS, PHOTOS, DATABASES AMD OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED!
Your files are NOT damaged! Your files are modified only. This modification is reversible.
The only 1 way to decrypt your files is to receive the private key and decryption program.
Any attempts to restore your files with the third-party software will be fatal for your files!
To receive the private key and decryption program follow the instructions below:
1. Download "Tor Browser" from https://www.torproject.org/ and install it.
2. In the "Tor Browser" open your personal page here:
http://3sk982xn91q999a7yee.yhicav6vkj427eox.onion/xxxxxxxxxxxx
문서, 사진, 데이터베이스 및 기타 중요한 파일이 암호화되었습니다!
경고! 타사 소프트웨어로 파일을 복원하려는 시도는 파일에 치명적입니다! 경고!
파일을 해독하려면 특수 소프트웨어 ( "My Decryptor")를 구매해야 합니다.
모든 거래는 BITCOIN 네트워크를 통해 수행되어야 합니다.
5일 이내에 제품을 특별 가격으로 살 수 있습니다 : BTC 0.200(~$ 1105)
5 일 후 제품의 가격은 최대 BTC 0.400(~$ 2210)
그리고 친절하게 비트코인을 구매 및 거래를 할 수 있는 사이트 목록들을 다음과 같이 보여 줍니다.
How to get "My Decryptor"?
1. Create a Bitcoin Wallet (we recommend Blockchain.info)
2. Buy necessary amount of Bitcoins
Here are our recommendations:
Buy Bitcoins with Cash or Cash Deposit
LocalBitcoins (https://localbitcoins.com/)
BitQuick (https://www.bitquick.co/)
Wall of Coins (https://wallofcoins.com/)
LibertyX (https://libertyx.com/)
Coin ATM Radar (https://coinatmradar.com/)
Bitit (https://bitit.io/)
Buy Bitcoins with Bank Account or Bank Transfer
Coinbase (https://www.coinbase.com/)
BitPanda (https://www.bitpanda.com/)
GDAX (https://www.gdax.com/)
CEX.io (https://cex.io/)
Gemini (https://gemini.com/)
Bittylicious (https://bittylicious.com/)
Korbit (https://www.korbit.co.kr/)
Coinfloor (https://www.coinfloor.co.uk/)
Coinfinity (https://coinfinity.co/)
CoinCafe (https://coincafe.com/)
BTCDirect (https://btcdirect.eu/)
Paymium (https://www.paymium.com/)
Bity (https://bity.com/)
Safello (https://safello.com/)
Bitstamp (https://www.bitstamp.net/)
Kraken (https://www.kraken.com/)
CoinCorner (https://www.coincorner.com/)
Cubits (https://cubits.com/)
Bitfinex (https://www.bitfinex.com/)
Xapo (https://xapo.com/)
HappyCoins (https://www.happycoins.com/)
Poloniex (https://poloniex.com/)
Buy Bitcoin with Credit/Debit Card
Coinbase (https://www.coinbase.com/)
CoinMama (https://www.coinmama.com/)
BitPanda (https://www.bitpanda.com/)
CEX.io (https://cex.io/)
Coinhouse (https://www.coinhouse.io/)
Buy Bitcoins with PayPal
VirWoX (https://www.virwox.com/)
Could not find Bitcoins in your region? Try searching here:
BittyBot (https://bittybot.co/eu/)
How To Buy Bitcoins (https://howtobuybitcoins.info/)
Buy Bitcoin Worldwide (https://www.buybitcoinworldwide.com/)
Bitcoin-net.com (http://bitcoin-net.com/)
3. Send BTC 0.200 to the following Bitcoin address:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
4. Control the amount transaction at the "Payments History" panel below
5. Reload current page after the payment and get a link to download the software
 Payments: Total received: BTC 0.000
At the moment we have received from you: BTC 0.000 (left to pay BTC 0.200)
입니다.
그리고 암호화되는 파일 목록들은 다음과 같습니다.
.PNG .PSD .PSPIMAGE .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB .SQL .APK .APP .BAT .CGI .COM .EXE .GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM .SAV CAD Files .DWG .DXF GIS Files .GPX .KML .KMZ .ASP .ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML. DOC .DOCX .LOG .MSG .ODT .PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN .PPS .PPT .PPTX ..INI., .HQX .MIM .UUE .7Z .CBR .DEB .GZ .PKG .RAR .RPM .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TAR .TAX2014 .TAX2015 .VCF .XML Audio Files .AIF .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA Video Files .3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJ R.BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF .TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .ICNS .ICO .LNK .SYS .CFG
입니다. 일단 해당 랜섬웨어인 Kgpvwnr Ransomware(Kgpvwnr 랜섬웨어)은 Cerber 랜섬웨어와 비슷한 모습도 있습니다. 일단 이런 악성코드에 감염되지 않는 방법은 기본적으로 윈도우 보안 업데이트를 해야 하면 Adobe Flash Player 등과 같이 자신이 사용하는 프로그램은 최신으로 유지해야 하면 기본적으로 백신프로그램을 설치하고 최신 업데이트 및 실시간 감시를 해야 하면 토렌트와 같은 곳에서 함부로 파일을 다운로드해서 실행을 하는 것을 최소화해야 합니다. 그리고 윈도우에서 시스템 복원지점을 설정돼 있습니다. 일단 해당 시스템 복원지점 지정이 돼 있다고 하면 ShadowExplorer(새도우 익스플러워)를 통해서 복구를 시도할 수가 있습니다. 다만 기본적으로 백신프로그램으로 해당 랜섬웨어를 제거를 하고 나서 ShadowExplorer(새도우 익스플러워)로 복원을 시도하면 됩니다. 그리고 백신프로그램과 함께 보조 백신프로그램 또는 랜섬웨어 방어 프로그램을 다운로드를 해서 실행을 해두는 것도 좋을 것입니다. 예를 들면 앱체크, Zemana Anti Malware등과 같은 프로그램을 다운로드 해서 실시간 감시를 하는 것도 좋은 방법이라고 생각이 됩니다.


반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band